White Paper

Cloud-Souveränität mit Microsoft-Technologien

Ein strukturiertes Whitepaper für Architekten, Sicherheitsverantwortliche und Entscheidungsträger in regulierten Branchen – mit einem Vergleich von vier Azure-Bereitstellungsszenarien anhand einheitlicher Kriterien zur Datenhoheit.

Die meisten Diskussionen über Cloud-Souveränität beschränken sich auf den Standort der Daten. Die schwierigeren Fragen – wer den Zugriff kontrolliert, wer auf Vorfälle reagiert und wo die Verantwortung für die Sicherheit liegt – werden durch das Betriebsmodell bestimmt, nicht durch die Region.

Das regulatorische Umfeld ist komplexer geworden.

Mit Inkrafttreten der DSGVO wurden grundlegende Standards für den Umgang mit Daten und die Rechenschaftspflicht festgelegt. Seitdem haben sich die Verpflichtungen im Zusammenhang mit der Einführung von Cloud- und KI-Lösungen in Europa erheblich ausgeweitet.

NIS2, DORA, das EU-KI-Gesetz, das Gesetz zur Cyber-Resilienz und das Europäische Rahmenwerk zur Cloud-Souveränität – das 2025 veröffentlicht wird – befassen sich jeweils mit einem anderen Aspekt des Betriebs von Cloud-Plattformen durch Unternehmen: operative Resilienz, KI-Governance, Transparenz in der Lieferkette, Aufsicht durch Dritte, Portabilität.

Insgesamt deuten sie nicht auf eine einzige konforme Architektur hin, sondern auf eine Reihe von Kompromissen, die bewusste und dokumentierte Entscheidungen erfordern.

Für Organisationen, die sich bereits mitten in der Umsetzung befinden, bedeutet dies oft, dass sie Entscheidungen überdenken müssen, die unter einem früheren, enger gefassten Compliance-Rahmen getroffen wurden.

Vier Referenzszenarien, die anhand derselben Kontrollbereiche bewertet wurden.

Das Whitepaper analysiert vier Bereitstellungsmodelle entlang des Microsoft-Cloud-Kontinuums – von Standard-Azure in EU-Regionen bis hin zu privaten, isolierten Umgebungen – und wendet dabei auf alle vier Modelle dieselben Kontrollbereiche an. Die Bereiche Schlüsselkontrolle, Zugriffssteuerung, Überprüfbarkeit, Supportmodell und betriebliche Verantwortung werden einheitlich bewertet, sodass die Unterschiede zwischen den Szenarien tatsächlich vergleichbar sind und nicht nur marketingbedingt sind.

In EU-Regionen bereitgestellte Workloads im Rahmen des Standardbetriebs- und Supportmodells von Microsoft. Eine solide Ausgangsbasis für die Anforderungen an die Datenverbleibpflicht in der EU, wobei bestimmte Einschränkungen hinsichtlich der betrieblichen Souveränität bestehen, die in der frühen Planungsphase häufig unterschätzt werden.

Die strengste Souveränitätskonfiguration, die innerhalb der nativen öffentlichen Azure-Cloud erreicht werden kann. Sie vereint Governance im Rahmen der EU-Datengrenzen, vom Kunden verwaltete Schlüsselkontrolle, einen kontrollierten Support-Zugang sowie in der EU erstellte Betriebsanleitungen. Das Whitepaper erläutert, wo die Grenzen dieser Konfiguration liegen und welche Restrisiken bestehen bleiben.

Die Plattform wird von einem in der EU ansässigen Unternehmen unter EU- oder nationaler Rechtshoheit betrieben. Betrieb, Support und Eskalation von Vorfällen liegen in der Verantwortung des Partnerbetreibers und nicht bei einem globalen Hyperscaler-Supportmodell. Dies ist insbesondere dann angebracht, wenn eine entscheidende Zuständigkeit der EU eine verbindliche regulatorische oder beschaffungsrechtliche Anforderung darstellt.

Maximale lokale Kontrolle, einschließlich Betrieb mit eingeschränkter Konnektivität und vollständig getrennter Betrieb. Dieses Modell bringt zudem die größte operative Verantwortung mit sich: Patching, Schwachstellenmanagement, Sicherheitsmaßnahmen und Resilience Engineering gehen auf den Kunden oder Betreiber über. Das Whitepaper erläutert konkret, was diese Verlagerung in der Praxis erfordert.

Laden Sie das Whitepaper herunter, um die vollständige Analyse zu erhalten.

Die oben aufgeführten Szenariozusammenfassungen geben einen Überblick über die Struktur. Das vollständige Whitepaper enthält die Einzelheiten: eine szenariobezogene SEAL-Selbstbewertung, die auf das Europäische Rahmenwerk für Cloud-Souveränität abgestimmt ist, eine Entscheidungsmatrix, die spezifische regulatorische Anforderungen dem entsprechenden Bereitstellungsmodell zuordnet, sowie einen Abschnitt über die Auswirkungen auf Sicherheit und Verantwortung, die mit einer stärkeren Souveränität einhergehen.

Dieser letzte Punkt ist besonders hervorzuheben. Eine stärkere Souveränität führt nicht automatisch zu mehr Sicherheit. Sie verändert vielmehr, wer die Verantwortung für die Sicherheitsergebnisse trägt.

In den Szenarien mit höherer Souveränität verlagern sich wesentliche Teile des Hyperscale-Sicherheitsmodells – koordinierte Patches, verwaltete Reaktion auf Vorfälle, Bedrohungsinformationen in großem Maßstab – vom Anbieter auf den Betreiber. Das Whitepaper befasst sich damit, welche operative Reife dafür erforderlich ist und welche Lücken entstehen, wenn diese fehlt.

Das Dokument ist als Entscheidungshilfe für Organisationen gedacht, die derzeit ihre angestrebte Souveränitätsposition bewerten oder sich auf Gespräche mit technischen und Compliance-Verantwortlichen vorbereiten.

Sind Sie bereit, Ihre Souveränitätslage zu bewerten?

Erfahren Sie, wo Ihre aktuelle Implementierung steht – und wie eine realistische Zielsituation für Ihren regulatorischen Kontext aussieht.

Cluster Reply

Cluster Reply ist das Unternehmen der Reply Gruppe, das auf die Beratung und Systemintegration von Microsoft-Technologien spezialisiert ist. Als Partner von Microsoft ist Cluster Reply in Deutschland, Österreich und der Schweiz tätig und arbeitet innerhalb des Reply Netzwerks mit Schwesterunternehmen in Brasilien, Großbritannien, Italien sowie den USA zusammen. Das Unternehmen legt den Schwerpunkt auf Innovationen und unterstützt Kunden bei der digitalen Transformation. Die Lösungen reichen von On-Premises- hin zu Cloud-Anwendungen in den Bereichen Modern Workplace und Security, Geschäftsanwendungen, Applikationen und Infrastruktur sowie Daten und Künstliche Intelligenz.